入侵检测报告电子版
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7
数据类型 连续型
连续型 连续型 连续型 连续型 连续型
连续型 连续型 连续型
dst_host_same_src_port_rate dst_host_srv_diff_host_rate dst_host_serror_rate dst_host_rerror_rate dst_host_srv_serror_rate dst_host_srv_rerror_rate
第五章 总结………………………………………………………….18
3
第一章需求分析
1.1 设计题目基于单层感知器的入侵检测系统分析与设计 1.2 设计要求
单层感知器是一个具有一层神经元、采用阈值激活函数的前向网络。通过对网络权 值的训练,可以使感知器对一组输人矢量的响应达到元素为 0 或 1 的目标输出,从而实 现对输人矢量分类的目的。设计要求充分理解感知器的思想,能够结合入侵检测对审计 数据分析的特点达到对数据进行分类的目的,从而识别出攻击,达到检测攻击的目的。 工作要求: (1)掌握日志数据,熟悉 KDD Cup 数据集,熟悉该数据集 41 维的数据特征。 (2)应用单层感知器算法来对数据进行分类,计算出检测率、误报率等检测指标。 (3)要求算法用 MATLAB 工具进行实现。
对于同一端口的连接所占的百分比 对不同主机的连接所占到的百分比 带有错误的连接所占的百分比 带有错误的连接所占的百分比 带有错误的连接所占的百分比 带有错误的连接所占的百分比
利用两秒的时间窗计算得到的传输特性 表3 特征名称 count 特征描述 两秒内对同一主机发出的连接数目 下列特征针对来自同一主机的连接 serror_rate rerror_rate same_srv_rate diff_srv_rate srv_count 带有“SYN”错误的连接所占的百分比 带有“REJ”错误的连接所占的百分比 对于同一服务的连接所占的百分比 对于不同服务的连接所占的百分比 两秒时间内与当前连接使用相同服务的连接数 下列特征是针对相同服务的连接而言 srv_serror_rate srv_rerror_rate srv_diff_host_rate 带有“SYN”错误的连接所占的百分比 带有“REJ”错误的连接所占的百分比 对于不同的主机连接所占的百分比 下列特征是对于同一目的主机而言 dst_host_count dst_host_srv_count dst_host_ same _ srv _rate dst_host_diff_ srv_rate 过去两秒时间内对同一主机发出的连接数 两秒内与当前连接同样的服务的连接数 对于同一服务的连接所占百分比 不同服务的连接所占百分比 连续型 连续型 连续型 连续型
1.3.2 感知器的网络结构
感知器的网络是由单层的 S 个感知神经元,通过一组权值{wij} (i=1, 2,…S;j=1, 2,…, r)与 r 个输入相连组成。对于具有输入矢量 PrXq 和目标矢量 TsXq 的感知器网络的简化结构图 如下所示:
4
(图二) 根据网络结构,可写出第 i 个输出神经元(i=1,2,…,s)的加权输入和 ni 及其输出 ai 为: ������ ni= ������ =1 ������������������ ������������
1.3.3 感知器的学习规则
学习规则是用来计算新的权值矩阵 W 及新的偏差 B 的算法。感知器利用其学习规则来 调整网络的权值,以便使该网络对输入矢量的响应达到数值为 0 或 1 的目标输出。 对于输入矢量 P,输出矢量 A,目标矢量为 T 的感知器网络,感知器的学习规则是根据
5
以下输出矢量可能出现的几种情况来进行参数调整的。 1) 如果第 i 个神经元的输出是正确的,即有 ai=bi,那么与第 i 个神经元连接的权值 Wij 和偏差值 bi 保持不变; 2) 如果第 i 个神经元的输出是 0,但期望输出为 1,即有 ai=0,而 ti=1。此时权值修正 算法为:新的权值 Wij 为旧的权值 Wij 加上输入矢量 Pj;类似的,新的偏差 bi 为旧的 偏差 bi 加上它的输入 1; 3) 如果第 i 个神经元的输出是 1,但期望输出为 0,即有 ai=1,而 ti=0。此时权值修正 算法为:新的权值 Wij 为旧的权值 Wij 减去输入矢量 Pj;类似的,新的偏差 bi 为旧的 偏差 bi 减去它的输入 1; 此算法,在 matlab 中为一个名为 learnp.m 的函数,直接调用此函数就可获得修正权值 的修正量。此函数所需要的输入变量为:输入、输出矢量和目标矢量:P、A、和 T。
说明:1、学院、专业、年级均填全称 2、 本表除签名外均可采用计算机打印。 本表不够, 可另附页, 但应在页脚添加页码。
2
目录
第一章 需求分析…………………………………………………1
第二章 设计思想…………………………………………………3
第三章 程序代码及数据集………………………………….6
第四章 测试结果………………………………………………….16
(图一) 其中,每一个输入分量 Pj(j=1,2,…,r)通过一个权值分量 Wj,进行加权求和,并作 为阈值函数的输入。 偏差 b 的加入使得网络多了一个可调参数, 为使网络输出达到期望的目 标矢量提供的方便。感知器特别适合解决简单的模式分类问题。已经证明,如果两类模式是 线性可分的,则算法一定收敛。 感知器特别适合用于简单的模式分类问题, 也可以用于基于模式分类的学习控制中。 感 知器实际上是在 MP 模型的基础上加上学习功能,使其权值可以调节的产物。
ai=f(ni+bi)
感知器的输出值是通过测试加权输入和值落在阈值函数的左右来进行分类的,即有:
阈值激活函数:
(图三) 由图三可知:当输入 ni+bi 大于等于 0,时,感知器的输出为 1。否则输出 ai 为 0。利用 偏差 bi 的使用,使其函数可以左右移动,从而增加了一个自由调整变量和实现网络特性的 可能性。
ຫໍສະໝຸດ Baidu
1.3 设计背景
1.3.1 感知器介绍
感知器是由美国计算机科学家罗森布(F.Roseblatt)于 1957 年提出的。感知器可谓是最 早的人工神经网络。单层感知器是一个具有一层神经元、采用阈值激活函数的前向网络。通 过对网络权值的训练,可以使感知器对一组输入矢量的响应达到元素为 0 或 1 的目标输出, 从而实现对输入矢量分类的目的。 单层感知器神经元模型图如下:
6
利用领域知识得到的连接内部特征 表2 特征名称 hot num_failed_logins logged_in num_compromised root_shell su_attempted num_root num_file_creations num_shells num_access_files num_outbound_cmds is_hot_login is_guest_login 特征描述 Hot 指示器的个数 尝试登录失败的次数 成功登录为“1”,否则为“0” “Compromised”条件的数目 访问了根目录为“1”,否则为“0” 尝试使用“su root”命令为“1”,否则为“0” 访问根目录的次数 创建文件操作的次数 Shell 提示符的次数 对存取控制文件操作的次数 ftp 连接中使用 outbound 命令的次数 如果登录属于“hot”列表,则为“1”,否则为“0” 以“guest”身份登录为“1”,否则为“0” 数据类型 连续型 连续型 离散型 连续型 离散型 离散型 连续型 连续型 连续型 连续型 连续型 离散型 离散型
重庆大学本科学生课程设计任务书
课程设计题目 学院 基于单层感知器的入侵检测系统分析与设计 专业 信息安全 年级 2007.
计算机学院
目的:单层感知器是一个具有一层神经元、采用阈值激活函数的前向网络。通过对网络 权值的训练,可以使感知器对一组输人矢量的响应达到元素为 0 或 1 的目标输出, 从而实现对输人矢量分类的目的。设计要求充分理解感知器的思想,能够结合入侵 检测对审计数据分析的特点达到对数据进行分类的目的,从而识别出攻击,达到检 测攻击的目的。 工作要求: (1)掌握日志数据,熟悉 KDD Cup 数据集,熟悉该数据集 41 维的数据特征。 (2)应用单层感知器算法来对数据进行分类,计算出检测率、误报率等检测指标。 (3)要求算法用 MATLAB 工具进行实现。 学生应完成的工作: (1)构造训练集(kdd_train) :用来对单层感知器进行训练,使得感知器在经过有限 次训练后,得到最优的权值和阀值。从 kddcup 中选取 300-500 条记录,每条记录均已标 签其是否属于攻击记录以及攻击类型。再从中选取每条记录的第 5,6,23,24,32,33 维。 它们的所代表的意义是: 5 src_bytes: continuous. 6 dst_bytes: continuous. 23 count: continuous. 24 srv_count: continuous. 32 dst_host_count: continuous. 33 dst_host_srv_count: continuous. (2)使用训练集对 MLP 进行训练。 第一步 根据应用创建一个 MLP 神经网络; 第二步 设定神经网络的训练参数,利用训练集对创建的神经网络进行训练;得出 训练后的权值和阈值。 (3)构造测试集(kdd_test) :用来对已训练后的感知器进行测试,计算该感知器的 检测率、误报率等检测指标。从 kddcup 中选取 200 条左右的记录,每条记录均已标签其 是否属于攻击记录以及攻击类型。再从中选取每条记录的第 5,6,23,24,32,33 位。输入 测试数据,测试训练好的神经网络的性能。 (4)编写设计报告,给出训练程序、测试程序、各项评价指标的值、ROC 曲线。
第二章设计思想
2.1 数据集
数据集来源于 “KDD Cup 1999 Data[http://kdd.ics.uci.edu/data-bases/kddcup.html]” , 该数据集中的每个连接都带有一个或标有正常、 或者具体攻击类型的类标识并且 所有的这些数据无一例外的都有 41 个特征属性。 这些特征中很多属于冗余特征, 设计要求只选择其中的部分连续型特征作为研究对象,例如特征 src_bytes ,
1
目前资料收集情况(含指定参考资料) : [1] 蒋宗礼编著 《人工神经网络导论》 高等教育出版社 2001.08 [2] 张志涌等编著 《精通 MATLAB6.5 版》 北京航空航天大学出版社 [3] 唐正军 社, 2002 编著 《网络入侵检测系统的设计与实现》 北京 : 电子工业出版
课程设计的工作计划: 1、19 周星期一,收集相关资料。 2、星期二:分析入侵检测系统的实现过程。 3、星期三----星期四:设计并编程; 4、星期四:按组验收程序,集体收交设计书。 任务下达日期 2010 年 7 月 5 日 指导教师(签名) 完成日期年月日 学生(签名)
单个 TCP 连接的基本属性 表1 特征名称 duration protocol_type service src_bytes dst_bytes flag land wrong_fragment urgent 特征描述 连接时间的长短 协议类型,比如 tcp,udp 等 目的端的网络服务,比如 http,telnet 等 从源端到目的端传输的字节数 从目的端到源端传输的字节数 连接的状态为 normal 还是 error 源和目的主机/端口是否相同,相同为 1,不同为 0 错误分片的数目 紧急包的数目 数据类型 连续型 离散型 离散型 连续型 连续型 离散型 离散型 连续型 连续型
dst_bytes, count, srv_count, dst_host_count, dst_host_srv_count, dst_host_same_src_port_rate。
试验证明特征选择不仅不会影响最终的检测性能,相反会提高检测效率。 表 1-表 3 根据各维的属性分类别地列出了“KDD Cup 1999 Data”的 41 维属 性的含义。
数据类型 连续型
连续型 连续型 连续型 连续型 连续型
连续型 连续型 连续型
dst_host_same_src_port_rate dst_host_srv_diff_host_rate dst_host_serror_rate dst_host_rerror_rate dst_host_srv_serror_rate dst_host_srv_rerror_rate
第五章 总结………………………………………………………….18
3
第一章需求分析
1.1 设计题目基于单层感知器的入侵检测系统分析与设计 1.2 设计要求
单层感知器是一个具有一层神经元、采用阈值激活函数的前向网络。通过对网络权 值的训练,可以使感知器对一组输人矢量的响应达到元素为 0 或 1 的目标输出,从而实 现对输人矢量分类的目的。设计要求充分理解感知器的思想,能够结合入侵检测对审计 数据分析的特点达到对数据进行分类的目的,从而识别出攻击,达到检测攻击的目的。 工作要求: (1)掌握日志数据,熟悉 KDD Cup 数据集,熟悉该数据集 41 维的数据特征。 (2)应用单层感知器算法来对数据进行分类,计算出检测率、误报率等检测指标。 (3)要求算法用 MATLAB 工具进行实现。
对于同一端口的连接所占的百分比 对不同主机的连接所占到的百分比 带有错误的连接所占的百分比 带有错误的连接所占的百分比 带有错误的连接所占的百分比 带有错误的连接所占的百分比
利用两秒的时间窗计算得到的传输特性 表3 特征名称 count 特征描述 两秒内对同一主机发出的连接数目 下列特征针对来自同一主机的连接 serror_rate rerror_rate same_srv_rate diff_srv_rate srv_count 带有“SYN”错误的连接所占的百分比 带有“REJ”错误的连接所占的百分比 对于同一服务的连接所占的百分比 对于不同服务的连接所占的百分比 两秒时间内与当前连接使用相同服务的连接数 下列特征是针对相同服务的连接而言 srv_serror_rate srv_rerror_rate srv_diff_host_rate 带有“SYN”错误的连接所占的百分比 带有“REJ”错误的连接所占的百分比 对于不同的主机连接所占的百分比 下列特征是对于同一目的主机而言 dst_host_count dst_host_srv_count dst_host_ same _ srv _rate dst_host_diff_ srv_rate 过去两秒时间内对同一主机发出的连接数 两秒内与当前连接同样的服务的连接数 对于同一服务的连接所占百分比 不同服务的连接所占百分比 连续型 连续型 连续型 连续型
1.3.2 感知器的网络结构
感知器的网络是由单层的 S 个感知神经元,通过一组权值{wij} (i=1, 2,…S;j=1, 2,…, r)与 r 个输入相连组成。对于具有输入矢量 PrXq 和目标矢量 TsXq 的感知器网络的简化结构图 如下所示:
4
(图二) 根据网络结构,可写出第 i 个输出神经元(i=1,2,…,s)的加权输入和 ni 及其输出 ai 为: ������ ni= ������ =1 ������������������ ������������
1.3.3 感知器的学习规则
学习规则是用来计算新的权值矩阵 W 及新的偏差 B 的算法。感知器利用其学习规则来 调整网络的权值,以便使该网络对输入矢量的响应达到数值为 0 或 1 的目标输出。 对于输入矢量 P,输出矢量 A,目标矢量为 T 的感知器网络,感知器的学习规则是根据
5
以下输出矢量可能出现的几种情况来进行参数调整的。 1) 如果第 i 个神经元的输出是正确的,即有 ai=bi,那么与第 i 个神经元连接的权值 Wij 和偏差值 bi 保持不变; 2) 如果第 i 个神经元的输出是 0,但期望输出为 1,即有 ai=0,而 ti=1。此时权值修正 算法为:新的权值 Wij 为旧的权值 Wij 加上输入矢量 Pj;类似的,新的偏差 bi 为旧的 偏差 bi 加上它的输入 1; 3) 如果第 i 个神经元的输出是 1,但期望输出为 0,即有 ai=1,而 ti=0。此时权值修正 算法为:新的权值 Wij 为旧的权值 Wij 减去输入矢量 Pj;类似的,新的偏差 bi 为旧的 偏差 bi 减去它的输入 1; 此算法,在 matlab 中为一个名为 learnp.m 的函数,直接调用此函数就可获得修正权值 的修正量。此函数所需要的输入变量为:输入、输出矢量和目标矢量:P、A、和 T。
说明:1、学院、专业、年级均填全称 2、 本表除签名外均可采用计算机打印。 本表不够, 可另附页, 但应在页脚添加页码。
2
目录
第一章 需求分析…………………………………………………1
第二章 设计思想…………………………………………………3
第三章 程序代码及数据集………………………………….6
第四章 测试结果………………………………………………….16
(图一) 其中,每一个输入分量 Pj(j=1,2,…,r)通过一个权值分量 Wj,进行加权求和,并作 为阈值函数的输入。 偏差 b 的加入使得网络多了一个可调参数, 为使网络输出达到期望的目 标矢量提供的方便。感知器特别适合解决简单的模式分类问题。已经证明,如果两类模式是 线性可分的,则算法一定收敛。 感知器特别适合用于简单的模式分类问题, 也可以用于基于模式分类的学习控制中。 感 知器实际上是在 MP 模型的基础上加上学习功能,使其权值可以调节的产物。
ai=f(ni+bi)
感知器的输出值是通过测试加权输入和值落在阈值函数的左右来进行分类的,即有:
阈值激活函数:
(图三) 由图三可知:当输入 ni+bi 大于等于 0,时,感知器的输出为 1。否则输出 ai 为 0。利用 偏差 bi 的使用,使其函数可以左右移动,从而增加了一个自由调整变量和实现网络特性的 可能性。
ຫໍສະໝຸດ Baidu
1.3 设计背景
1.3.1 感知器介绍
感知器是由美国计算机科学家罗森布(F.Roseblatt)于 1957 年提出的。感知器可谓是最 早的人工神经网络。单层感知器是一个具有一层神经元、采用阈值激活函数的前向网络。通 过对网络权值的训练,可以使感知器对一组输入矢量的响应达到元素为 0 或 1 的目标输出, 从而实现对输入矢量分类的目的。 单层感知器神经元模型图如下:
6
利用领域知识得到的连接内部特征 表2 特征名称 hot num_failed_logins logged_in num_compromised root_shell su_attempted num_root num_file_creations num_shells num_access_files num_outbound_cmds is_hot_login is_guest_login 特征描述 Hot 指示器的个数 尝试登录失败的次数 成功登录为“1”,否则为“0” “Compromised”条件的数目 访问了根目录为“1”,否则为“0” 尝试使用“su root”命令为“1”,否则为“0” 访问根目录的次数 创建文件操作的次数 Shell 提示符的次数 对存取控制文件操作的次数 ftp 连接中使用 outbound 命令的次数 如果登录属于“hot”列表,则为“1”,否则为“0” 以“guest”身份登录为“1”,否则为“0” 数据类型 连续型 连续型 离散型 连续型 离散型 离散型 连续型 连续型 连续型 连续型 连续型 离散型 离散型
重庆大学本科学生课程设计任务书
课程设计题目 学院 基于单层感知器的入侵检测系统分析与设计 专业 信息安全 年级 2007.
计算机学院
目的:单层感知器是一个具有一层神经元、采用阈值激活函数的前向网络。通过对网络 权值的训练,可以使感知器对一组输人矢量的响应达到元素为 0 或 1 的目标输出, 从而实现对输人矢量分类的目的。设计要求充分理解感知器的思想,能够结合入侵 检测对审计数据分析的特点达到对数据进行分类的目的,从而识别出攻击,达到检 测攻击的目的。 工作要求: (1)掌握日志数据,熟悉 KDD Cup 数据集,熟悉该数据集 41 维的数据特征。 (2)应用单层感知器算法来对数据进行分类,计算出检测率、误报率等检测指标。 (3)要求算法用 MATLAB 工具进行实现。 学生应完成的工作: (1)构造训练集(kdd_train) :用来对单层感知器进行训练,使得感知器在经过有限 次训练后,得到最优的权值和阀值。从 kddcup 中选取 300-500 条记录,每条记录均已标 签其是否属于攻击记录以及攻击类型。再从中选取每条记录的第 5,6,23,24,32,33 维。 它们的所代表的意义是: 5 src_bytes: continuous. 6 dst_bytes: continuous. 23 count: continuous. 24 srv_count: continuous. 32 dst_host_count: continuous. 33 dst_host_srv_count: continuous. (2)使用训练集对 MLP 进行训练。 第一步 根据应用创建一个 MLP 神经网络; 第二步 设定神经网络的训练参数,利用训练集对创建的神经网络进行训练;得出 训练后的权值和阈值。 (3)构造测试集(kdd_test) :用来对已训练后的感知器进行测试,计算该感知器的 检测率、误报率等检测指标。从 kddcup 中选取 200 条左右的记录,每条记录均已标签其 是否属于攻击记录以及攻击类型。再从中选取每条记录的第 5,6,23,24,32,33 位。输入 测试数据,测试训练好的神经网络的性能。 (4)编写设计报告,给出训练程序、测试程序、各项评价指标的值、ROC 曲线。
第二章设计思想
2.1 数据集
数据集来源于 “KDD Cup 1999 Data[http://kdd.ics.uci.edu/data-bases/kddcup.html]” , 该数据集中的每个连接都带有一个或标有正常、 或者具体攻击类型的类标识并且 所有的这些数据无一例外的都有 41 个特征属性。 这些特征中很多属于冗余特征, 设计要求只选择其中的部分连续型特征作为研究对象,例如特征 src_bytes ,
1
目前资料收集情况(含指定参考资料) : [1] 蒋宗礼编著 《人工神经网络导论》 高等教育出版社 2001.08 [2] 张志涌等编著 《精通 MATLAB6.5 版》 北京航空航天大学出版社 [3] 唐正军 社, 2002 编著 《网络入侵检测系统的设计与实现》 北京 : 电子工业出版
课程设计的工作计划: 1、19 周星期一,收集相关资料。 2、星期二:分析入侵检测系统的实现过程。 3、星期三----星期四:设计并编程; 4、星期四:按组验收程序,集体收交设计书。 任务下达日期 2010 年 7 月 5 日 指导教师(签名) 完成日期年月日 学生(签名)
单个 TCP 连接的基本属性 表1 特征名称 duration protocol_type service src_bytes dst_bytes flag land wrong_fragment urgent 特征描述 连接时间的长短 协议类型,比如 tcp,udp 等 目的端的网络服务,比如 http,telnet 等 从源端到目的端传输的字节数 从目的端到源端传输的字节数 连接的状态为 normal 还是 error 源和目的主机/端口是否相同,相同为 1,不同为 0 错误分片的数目 紧急包的数目 数据类型 连续型 离散型 离散型 连续型 连续型 离散型 离散型 连续型 连续型
dst_bytes, count, srv_count, dst_host_count, dst_host_srv_count, dst_host_same_src_port_rate。
试验证明特征选择不仅不会影响最终的检测性能,相反会提高检测效率。 表 1-表 3 根据各维的属性分类别地列出了“KDD Cup 1999 Data”的 41 维属 性的含义。